Politiques de pare-feu DNS d'Amazon Route 53 Resolver - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Politiques de pare-feu DNS d'Amazon Route 53 Resolver

Vous pouvez utiliser les politiques de pare-feu AWS Firewall Manager DNS pour gérer les associations entre les groupes de règles du pare-feu DNS Amazon Route 53 Resolver et vos VPC Amazon Virtual Private Cloud au sein de votre organisation dans. AWS Organizations Vous pouvez appliquer des groupes de règles contrôlés de manière centralisée à l'ensemble de votre organisation ou à un sous-ensemble sélectionné de vos comptes et VPC.

Le pare-feu DNS permet de filtrer et de réguler le trafic DNS sortant pour vos VPC. Vous créez des ensembles réutilisables de règles de filtrage dans les groupes de règles du pare-feu DNS et vous associez les groupes de règles à vos VPC. Lorsque vous appliquez la politique Firewall Manager, pour chaque compte et VPC relevant du champ d'application de la stratégie, Firewall Manager crée une association entre chaque groupe de règles de pare-feu DNS de la stratégie et chaque VPC inclus dans le champ d'application de la stratégie, en utilisant les paramètres de priorité d'association que vous spécifiez dans la politique de Firewall Manager.

Pour plus d'informations sur l'utilisation du pare-feu DNS, consultez le pare-feu DNS Amazon Route 53 Resolver dans le guide du développeur Amazon Route 53.

Les sections suivantes décrivent les exigences relatives à l'utilisation des politiques de pare-feu DNS de Firewall Manager et décrivent le fonctionnement de ces politiques. Pour la procédure de création de la politique, voirCréation d'une AWS Firewall Manager politique pour Amazon Route 53 Resolver Firewall DNS.

Vous devez activer le partage des ressources

Une politique de pare-feu DNS partage les groupes de règles de pare-feu DNS entre les comptes de votre organisation. Pour que cela fonctionne, le partage des ressources doit être activé avec AWS Organizations. Pour plus d'informations sur la façon d'activer le partage des ressources, consultezPartage des ressources pour les politiques de Network Firewall et de DNS Firewall.

Les groupes de règles de votre pare-feu DNS doivent être définis

Lorsque vous spécifiez une nouvelle politique de pare-feu DNS, vous définissez les groupes de règles de la même manière que lorsque vous utilisez directement le pare-feu DNS d'Amazon Route 53 Resolver. Vos groupes de règles doivent déjà exister dans le compte administrateur de Firewall Manager pour que vous puissiez les inclure dans la politique. Pour plus d'informations sur la création de groupes de règles de pare-feu DNS, consultez la section Groupes de règles et règles de pare-feu DNS.

Vous définissez les associations de groupes de règles les plus basses et les plus prioritaires

Les associations de groupes de règles de pare-feu DNS que vous gérez via les politiques de pare-feu DNS de Firewall Manager contiennent les associations les moins prioritaires et les associations les plus prioritaires pour vos VPC. Dans la configuration de votre politique, ils apparaissent en tant que premier et dernier groupe de règles.

Le pare-feu DNS filtre le trafic DNS pour le VPC dans l'ordre suivant :

  1. Premiers groupes de règles, définis par vos soins dans la politique de pare-feu DNS de Firewall Manager. Les valeurs valides sont comprises entre 1 et 99.

  2. Groupes de règles de pare-feu DNS associés par des gestionnaires de comptes individuels via le pare-feu DNS.

  3. Derniers groupes de règles, que vous avez définis dans la politique de pare-feu DNS de Firewall Manager. Les valeurs valides sont comprises entre 9 901 et 10 000.

Suppression d'un groupe de règles

Pour supprimer un groupe de règles d'une politique de pare-feu DNS de Firewall Manager, vous devez effectuer les étapes suivantes :

  1. Supprimez le groupe de règles de votre politique de pare-feu DNS Firewall Manager.

  2. Annulation du partage du groupe de règles dans. AWS Resource Access Manager Pour annuler le partage d'un groupe de règles dont vous êtes propriétaire, vous devez le supprimer du partage de ressources. Vous pouvez le faire à l'aide de la AWS RAM console ou de la AWS CLI. Pour plus d'informations sur l'annulation du partage d'une ressource, voir Mettre à jour un partage de ressources AWS RAM dans le Guide de l'AWS RAM utilisateur.

  3. Supprimez le groupe de règles à l'aide de la console ou de la AWS CLI du pare-feu DNS.

Comment Firewall Manager nomme les associations de groupes de règles qu'il crée

Lorsque vous enregistrez la politique de pare-feu DNS, si vous avez activé la correction automatique, Firewall Manager crée une association de pare-feu DNS entre les groupes de règles que vous avez fournis dans la stratégie et les VPC concernés par la stratégie. Firewall Manager nomme ces associations en concaténant les valeurs suivantes :

  • La chaîne fixe,FMManaged_.

  • L'ID de politique de Firewall Manager. Il s'agit de l'ID de AWS ressource pour la politique Firewall Manager.

Voici un exemple de nom pour un pare-feu géré par Firewall Manager :

FMManaged_EXAMPLEDNSFirewallPolicyId

Après avoir créé la politique, si les propriétaires de comptes dans les VPC remplacent les paramètres de votre politique de pare-feu ou vos associations de groupes de règles, Firewall Manager marquera la politique comme non conforme et essaiera de proposer une action corrective. Les propriétaires de comptes peuvent associer d'autres groupes de règles de pare-feu DNS aux VPC concernés par la politique de pare-feu DNS. Toutes les associations créées par les propriétaires de comptes individuels doivent disposer de paramètres de priorité entre la première et la dernière association de groupes de règles.